SEQRITEの研究者が低レイヤの操作が可能な正規ツールに関するまとめ記事を公開した。
よくよく見ると、全然正規ツールじゃなくてそもそも攻撃ツールだったり、ランサムウェア攻撃者が作ったプログラムなので全く公開されていないものも含まれている。(AIで適当にまとめて作った?)
自分も表とかリンクは一部AIで作るときあるけど、SEQRITEの今回の記事はもっと雑な気がする。
公開が確認できたもの
何だか同じツールの話を何度もしていたり怪しい部分があるが、そもそもシステム管理的な紹介の正規のツール、ペネトレーションテスト用やセキュリティ研究用ではないものをピックアップ。
| ツール名 | 配布 | 配布元URL |
|---|---|---|
| Process Hacker | OSS | https://github.com/PKRoma/ProcessHacker |
| IOBit Unlocker | フリーウェア | https://jp.iobit.com/pc-optimization-software/iobit-unlocker-free.html |
| TDSSKiller | フリーウェア | https://www.bleepingcomputer.com/download/tdsskiller/ |
| Windows Kernel Explorer | フリーウェア | https://github.com/AxtMueller/Windows-Kernel-Explorer |
| ProcessKO | フリーウェア | https://www.softwareok.com/?seite=Freeware/ProcessKO |
| HRSword | フリーウェア? | https://www.huorong.cn/ |
| YDArk | フリーウェア | https://github.com/ClownQq/YDArk |
| PowerRun | フリーウェア | https://www.sordum.org/9416/ |
| Unlock_IT | フリーウェア | https://emcosoftware.com/unlock-it |
| Atool | フリーウェア | https://www.majorgeeks.com/files/details/atool.html |
これ以外にいくつか記事上では取り上げられているが、mimikatzはそもそも正規のツールっていう立ち位置とは言えない気がする。
AuKillと0th3r_av5.exeは、そもそもRaaSかKiller系サービスで配布されているものなので、正規のツールって言えるわけがない。
これまでの記事(というか昨日の記事とかも)で既出のものもあるが改めて、思ったことを述べていくスタイル。
ファイルロック解除系
| ツール名 | 配布 | 配布元URL |
|---|---|---|
| IOBit Unlocker | フリーウェア | https://jp.iobit.com/pc-optimization-software/iobit-unlocker-free.html |
| Unlock_IT | フリーウェア | https://emcosoftware.com/unlock-it |
何らかのプログラムが開いていて消せない、編集できないというような事態を解決するツール。
ランサムウェア事案では、攻撃者が無理やりデータベースファイル書き換えたり、設定ファイル、その他大事なファイルを暗号化する前準備として使用する。
システム調査、設定変更系
| ツール名 | 配布 | 配布元URL |
|---|---|---|
| Process Hacker | OSS | https://github.com/PKRoma/ProcessHacker |
| TDSSKiller | フリーウェア | https://www.bleepingcomputer.com/download/tdsskiller/ |
| Windows Kernel Explorer | フリーウェア | https://github.com/AxtMueller/Windows-Kernel-Explorer |
| ProcessKO | フリーウェア | https://www.softwareok.com/?seite=Freeware/ProcessKO |
| HRSword | フリーウェア? | https://www.huorong.cn/ |
| YDArk | フリーウェア | https://github.com/ClownQq/YDArk |
| PowerRun | フリーウェア | https://www.sordum.org/9416/ |
| Atool | フリーウェア | https://www.majorgeeks.com/files/details/atool.html |
サービスとして何が動いている、レジストリはどんな設定がある、カーネルレベルでどんな監視がされているとかを調べる系。
そして、気に入らない設定があったら書き換える、アンチウイルスが動いていたたプロセスキル、カーネルレベルの監視設定の書き換えとかを行うためのツール。
HRSwordは、HUORONG SECURITYのセキュリティ製品の一部とのことで、このアプリケーションをインストールすると含まれているらしい。
HRSwordだけを持ってきて使っているということだ。
権限昇格
| ツール名 | 配布 | 配布元URL |
|---|---|---|
| PowerRun | フリーウェア | https://www.sordum.org/9416/ |
昨日も出たので割愛。
Sysinternalsも正規ツールの悪用っていうのでよく聞くけど。
MicrosoftのSysinternalsはシステム管理系の良いツール。
learn.microsoft.com
しかし、攻撃に使っても検知されにくいツールとして攻撃者に使われてしまう。
ペネトレーションテストする人たちは、頑張って既存の攻撃ツール、新しい攻撃ツールの勉強をするが、実際の高度な攻撃者は正規ツールをどう悪用するかを考えている。
ペネトレーションテスターもそろそろ正規ツールの悪用について、sordum、majorgeeks、softwareokを眺めながら考えた方が良いのではないか。
いや、もしかしてライセンス問題あるかのかぁ?(商用利用.........。)
ペネトレーションテスターは辛い。
